Безопасность NFT-контрактов: Анализ событий первой половины 2022 года и разбор распространенных проблем

В первой половине 2022 года в области безопасности блокчейна произошло несколько инцидентов, связанных с NFT, которые привели к значительным экономическим потерям. В этой статье будет проведен глубокий анализ этих событий и обсуждены распространенные проблемы в процессе аудита контрактов NFT.

Обзор инцидентов безопасности NFT

Согласно данным платформы мониторинга безопасности блокчейна, в первой половине 2022 года произошло 10 крупных инцидентов с безопасностью NFT, общие потери составили около 64,9 миллиона долларов США. Основные методы атак включали эксплуатацию уязвимостей контрактов, утечку приватных ключей и фишинг. Следует отметить, что фишинг на платформе Discord происходит практически каждый день, что приводит к частым потерям для отдельных пользователей.

Анализ типичных инцидентов безопасности

Событие TreasureDAO

3 марта 2022 года платформа TreasureDAO была атакована хакерами, в результате чего было украдено более 100 NFT.

Причина уязвимости: путаница в логике контракта. Функция buyItem контракта TreasureMarketplaceBuyer не проверяет тип токена, а напрямую умножает количество на цену за единицу, что позволяет приобретать NFT за 0 ERC-20 токенов. Это произошло из-за смешивания токенов ERC-1155 и ERC-721, при этом токены 721 не были обработаны специальным образом.

событие сairdrop APE Coin

17 марта 2022 года хакеры получили более 60 000 APE Coin через займ с использованием Flash Loan.

Причина уязвимости: контракт на аирдроп проверял только временное состояние владения NFT пользователем, атакующий мог временно занять NFT через флеш-кредит для получения аирдропа.

Событие Revest Finance

27 марта 2022 года Revest Finance подвергся хакерской атаке, потеряв 120000 долларов.

Причина уязвимости: повторный ввод атаки ERC-1155. Контракт не проверяет, существует ли уже новый FNFT при его создании, и переменная состояния увеличивается после функции _mint(), что приводит к уязвимости повторного ввода.

NBA проект событие

21 апреля 2022 года проект NBA подвергся хакерской атаке.

Причина уязвимости: подделка и повторное использование подписей. Контракт не хранил использованные подписи и не проверял msg.sender, что привело к возможности повторного использования и подделки подписей.

Событие в Акутаре

23 апреля 2022 года проект Akutar был заблокирован из-за уязвимости контракта на сумму 11 000 ETH.

Причина уязвимости: дефект логики возврата. Функция возврата не учитывает возможность, что пользователь может сделать ставки на несколько NFT, что приводит к невозможности завершения возврата.

XCarnival событие

24 июня 2022 года XCarnival подвергся атаке, хакеры заработали 3087 ETH.

Причина уязвимости: недостатки в логике заимствования. Контракт не проверяет законность адреса xToken и не проверяет состояние записи залога, что приводит к возможности повторного использования недействительных записей залога для заимствования.

Часто задаваемые вопросы по аудиту NFT-контрактов

1. Подделка и повторное использование подписи

   • Отсутствует проверка на повторное использование подписи
   • Логика проверки подписи нестрога

2. Логическая уязвимость

   • Неправильное управление общим количеством монет
   • Процесс аукциона зависит от порядка

3. Повторная атака ERC721/ERC1155

   • Функция уведомления о переводе может привести к повторному входу

4. Слишком широкий объем полномочий

   • Требуется авторизация всех токенов, а не отдельного токена

5. Риск манипуляции ценами

   • Цена NFT зависит от легко манипулируемых показателей

Таким образом, проблемы безопасности контрактов NFT по-прежнему широко распространены. Команды проектов должны уделять внимание аудиту безопасности контрактов и выбирать профессиональные команды безопасности для проведения комплексной проверки, чтобы избежать возникновения подобных инцидентов безопасности.